Microsoft dijo que perdió semanas de registros de seguridad para los productos en la nube de sus clientes

Microsoft advirtió a los clientes que faltan más de dos semanas de registros de seguridad para algunos de sus productos en la nube, lo que deja a los defensores de la red sin datos críticos para detectar posibles intrusiones.

Según una notificación enviada a los clientes afectados, Microsoft dijo que «un error en uno de los agentes de monitoreo internos de Microsoft provocó que algunos agentes funcionaran mal al cargar datos de registro en la plataforma interna nuestro registro» entre el 2 y el 19 de septiembre.

La notificación decía que la interrupción no fue causada por un incidente de seguridad y «sólo afectó la recopilación de eventos de registro».

Business Insider informó por primera vez de la pérdida de datos de registro a principios de octubre. Los detalles de la notificación no se han divulgado ampliamente. Como señaló el investigador de seguridad Kevin Beaumont, las notificaciones que Microsoft envió a las empresas afectadas probablemente solo sean accesibles para una pequeña cantidad de usuarios con derechos de administrador de inquilinos.

El registro ayuda a realizar un seguimiento de los eventos dentro de un producto, como información sobre los usuarios que iniciaron sesión y los intentos fallidos, lo que puede ayudar a los defensores de la red a identificar intrusiones sospechosas. Los registros faltantes pueden hacer que sea más difícil identificar el acceso no autorizado a las redes de los clientes durante ese período de dos semanas.

Los productos afectados incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview, según el informe de Business Insider. Los clientes afectados «pueden experimentar posibles lagunas en los registros o eventos relacionados con la seguridad, lo que posiblemente afecte la capacidad de los clientes para analizar datos, detectar amenazas o generar alertas de seguridad», decía la notificación.

Microsoft no respondió preguntas específicas sobre la interrupción, pero un ejecutivo de Microsoft confirmó a TechCrunch que el incidente fue causado por «un error operativo dentro de nuestro agente de monitoreo interno».

“Mitigamos el problema revocando un cambio de servicio. Nos hemos comunicado con todos los clientes afectados y brindaremos soporte según sea necesario», dijo John Sheehan, vicepresidente corporativo de Microsoft.

El registro se produce un año después de que Microsoft fuera criticado por investigadores federales por retener registros de seguridad de ciertos departamentos del gobierno federal de EE. UU. que alojan sus correos electrónicos en la nube reforzada de la compañía, de (sólo el gobierno, que según los investigadores podría tener acceso a esos registros). identificó una serie de intrusiones apoyadas por China mucho antes.

Los intrusos respaldados por China, llamados Storm-0558, irrumpieron en la red de Microsoft y robaron una clave digital que permitía a los piratas informáticos acceso ilimitado a los correos electrónicos del gobierno estadounidense almacenados en la nube de Microsoft. Según una autopsia del ciberataque publicada por el gobierno, el Departamento de Estado identificó las intrusiones porque pagó por una licencia de Microsoft de nivel superior que daba acceso a los registros de seguridad de sus productos en la nube, algo que muchas otras agencias gubernamentales de EE. UU. no tienen. pagado. tener

Después de los ataques afirmados por China, Microsoft dijo que comenzará a proporcionar registros a sus cuentas en la nube por una tarifa más baja a partir de septiembre de 2023.

Carly Page contribuyó con el informe.